数据安全法和个人信息法

演讲人：日期：数据安全法和个人信息法目录数据安全法概述个人信息法概述数据安全法主要内容解读个人信息法主要内容解读企业合规管理与风险防范策略法律责任与处罚措施01数据安全法概述随着信息技术的快速发展，数据安全问题日益突出，为了保障国家数据安全，维护个人、组织的合法权益，促进数据合理利用，制定本法。立法背景数据安全法是落实总体国家安全观的重要举措，是维护国家主权、安全和发展利益的重要法治保障，对于保护个人和组织的合法权益，促进数据有序流动，推动数字经济健康发展具有重要意义。立法意义立法背景与意义适用范围本法适用于中华人民共和国境内开展数据处理活动及其安全监管，在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。适用对象本法所称数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等；所称数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。适用范围及对象数据安全法明确了数据处理的基本原则，包括合法、正当、必要原则，诚信原则，目的明确和最小化原则，公开透明原则等。基本原则数据安全法建立了数据分类分级保护制度，数据安全管理制度，数据安全风险评估、监测预警和应急处置制度等基本制度。基本制度基本原则与制度监管机构国家网信部门负责统筹协调网络数据安全和相关监管工作，国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全监管职责。监管职责监管机构应当依法履行职责，加强对数据处理活动的监督管理，保护个人、组织的合法权益，维护国家主权、安全和发展利益。同时，监管机构还应当加强与有关主管部门、机构的协同配合，形成工作合力。监管机构及职责02个人信息法概述随着信息技术的迅猛发展，个人信息保护面临严峻挑战，制定个人信息法成为紧迫需求。信息化快速发展保障公民权益促进信息合理利用个人信息法旨在保护公民的隐私权、信息权等合法权益，维护社会公平正义。通过规范个人信息的收集、使用、处理等行为，促进信息的合理利用和流通，推动经济社会发展。030201立法背景与意义个人信息法适用于在中华人民共和国境内处理自然人个人信息的活动，包括收集、存储、使用、加工、传输、提供、公开等活动。个人信息法适用于各类组织和个人，包括政府机关、企事业单位、社会团体、个人等。适用范围及对象适用对象适用范围基本原则与制度基本原则个人信息法明确规定了个人信息处理应遵循的合法、正当、必要原则，以及目的明确、选择同意、最小范围、确保安全等原则。基本制度个人信息法建立了包括个人信息分类保护、个人信息处理者法定职责、个人信息跨境提供规则等在内的基本制度。国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作，国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。监管机构监管机构依法对个人信息处理活动进行监督管理，对违反个人信息法规定的行为进行查处，并可以依法对相关责任人员采取限制从业等措施。同时，监管机构还应当加强对个人信息保护工作的宣传教育和培训，提高全社会的个人信息保护意识。监管职责监管机构及职责03数据安全法主要内容解读根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。数据分类分级保护制度国家建立数据安全风险评估、报告、信息共享、监测预警机制，发现数据安全风险信息的，有关主管部门应当依法及时告知有关组织和个人，并采取相应的风险处置措施。发生数据安全事件，有关主管部门应当依法启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息。数据安全风险评估与应急处置机制

数据出境安全管理制度国家建立健全数据跨境安全管理制度，保障数据安全跨境传输和利用。向境外提供重要数据、关键信息基础设施运营者和处理大量个人信息的数据处理者等，应当进行出境安全评估。境外组织或者个人不得在我国境内收集、存储、传输、处理和利用涉及国家安全的数据。关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施及时报送相关负责关键信息基础设施安全保护工作的部门。关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。关键信息基础设施运营者义务04个人信息法主要内容解读处理个人信息应当具有明确、合理的目的，并应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式。合法、正当、必要原则处理个人信息应当取得个人的同意，个人有权知悉其个人信息被处理的情况，并有权限制或者拒绝他人对其个人信息进行处理。知情同意原则个人信息处理者应当公开其处理的个人信息的相关情况，包括处理目的、处理方式、处理范围等，接受社会监督。公开透明原则个人信息权益保护原则保障个人信息安全个人信息处理者应当采取必要的安全措施，保障处理的个人信息的安全，防止未经授权的访问和个人信息的泄露、被窃取、被篡改等。合法处理个人信息个人信息处理者应当依法处理个人信息，不得通过误导、欺诈、胁迫等方式处理个人信息，不得非法买卖、提供或者公开个人信息。及时删除个人信息当处理目的已实现、无法实现或者为实现处理目的不再必要时，个人信息处理者应当主动删除个人信息；个人信息处理者停止提供产品或者服务，或者保存期限已届满的，应当及时删除个人信息。个人信息处理者义务敏感个人信息处理规则个人信息处理者应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。告知处理敏感个人信息的必要性以及对个人权益的影响只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。严格限制处理敏感个人信息处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。取得个人的单独同意个人信息跨境传输规定个人信息处理者向境外接收方提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。个人信息处理者应当确保个人信息处理活动达到保护标准，防止境外接收方侵害个人信息的权益。告知个人并向境外接收方提供个人信息清单境外接收方应当在处理个人信息时遵守中国的法律、行政法规和本法规定，并不得将个人信息传输至中国境外的其他组织或者个人，除非该组织或者个人符合中国的法律、行政法规和本法规定的条件并经过中国的相关主管部门批准。境外接收方处理个人信息的限制05企业合规管理与风险防范策略制定全面的合规管理制度和流程，确保企业各项业务活动符合法律法规要求。建立有效的内部控制机制，对关键业务环节进行监督和检查，防范潜在风险。设立专门的合规管理部门，负责数据安全和个人信息保护的日常管理工作。建立完善内部合规管理体系定期开展数据安全和个人信息保护相关培训，提高员工对法律法规和企业政策的认识。加强员工意识教育，引导员工自觉遵守企业规章制度，增强风险防范意识。鼓励员工积极参与合规管理工作，提出改进意见和建议。加强员工培训和意识提升定期开展自查自纠工作，及时发现和纠正违规行为，消除潜在风险隐患。建立风险评估机制，对企业面临的数据安全和个人信息保护风险进行全面分析和评估。针对评估结果，制定有效的风险防范和应对措施，降低潜在损失。定期进行自查自纠和风险评估加强与监管部门的沟通和协作，及时了解监管政策和要求。积极配合监管部门开展检查、调查等工作，如实提供相关资料和信息。对监管部门提出的问题和建议，认真整改和落实，不断提升合规管理水平。积极配合监管部门开展工作06法律责任与处罚措施违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。违反本法规定，给他人造成损害的，依法承担民事责任。有前款规定的违法行为，情节严重的，由有关主管部门将违法主体列入数据活动失信名录，并依法公示。违反本法规定，开展数据处理活动未依照本法规定履行数据安全保护义务或者履行数据安全保护义务不符合国家有关规定，造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。违反数据安全法行为及处罚违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得；对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。违反个人信息法行为及处罚违反数据安全法或个人信息法，造成他人损害的，应依法承担民事责任，包括赔偿损失、消除影响等。违反数据安全法或个人信息法的行政责任包括警告、罚款、没收违法所得、责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等。违反数据安全法或个人信息法，构成犯罪的，应依法追究刑事责任，包括有期徒